Tiredful, Una API Vulnerable

  • December 3, 2017
  • tuxotron
  • Tiredful API

    Tiredful API

    Cómo hemos dicho muchas veces, sin hacer no se aprende. Leer es un hábito que todos debemos desarrollar y cultivar, pero cuando hablamos de tecnología, si sólo lees y no pruebas, practicas, rompes, etc, no aprenderás mucho.

    Ya hemos publicado algunas entradas (vulnerable, pentesting, etc) con aplicaciones vulnerables de forma intencionada para el beneficio del que desea practicar y aprender. En este caso os hablamos sobre otra de estas aplicaciones, aunque esta vez es una REST API.

    Conocer como funcionan las APIs REST es fundamental, sobre todo para desarrolladores y auditores de seguridad, cualquiera que sea el color de tu equipo. Hay quien dice que las APIs son los nuevos blogs para las empresas, y que prácticamente cualquier empresa debería tener su propia API.

    Tiredful-API es una REST API intencionadamente vulnerable. Está escrita en Python con Django y actualmente contiene las siguientes vulnerabilidades:

    • Information Disclosure.
    • Insecure Direct Object Reference.
    • Access Control.
    • Throttling.
    • SQL Injection (SQLite).
    • Cross Site Scripting.

    El código está disponible en Github, junto con las instrucciones de cómo ejecutarla.

    Pero si no te encuentras cómodo con Python y Django, o simplemente no quieres instalar ninguna de las dependencias que necesitas, puedes usar una imagen Docker que he creado y que puedes ejecutar con un simple comando:

    docker container run -it --rm -p 8000:8000 tuxotron/tiredful-api

    Evidentemente necesitas tener Docker instalado. Si tu usuario no es parte del grupo de Docker o no tienes privilegios elevados, necesitarás prefijar el comando anterior con sudo.

    sudo docker container run -it --rm -p 8000:8000 tuxotron/tiredful-api

    Una vez hayas ejecutado dicho comando, puedes acceder a la aplicación yendo a http://localhost:8000.

    Si te atascas y necesitas un poco de ayuda, puedes acceder a las soluciones, pero inténtalo y no te des por vencido muy rápido.

¿Y tú de qué vas? Pablo González

  • November 30, 2017
  • cybercaronte
  • Pablo Gonález Pérez

    Pablo Gonález Pérez

    1) ¿Quién eres y a qué te dedicas?

    Soy Pablo González (tercera generación xD). Me dedico a los sueños locos que hacemos en el equipo SWAT o miniLab de CDO en Telefónica Digital España. Ahora en serio, me dedico a la difusión tecnológica, a la generación de pruebas de concepto, de estudiar si alguna de estas pruebas pueden pasar a los productos o servicios y, además, si alguna prueba pudiera acabar en una patente. También, doy charlas y talleres sobre cosas que hacemos, que investigamos, ayudamos a la comunicación. En definitiva, formo parte de un equipo que no tiene tiempo de aburrirse y que hacemos de todo. Por cierto, Fran (Cybercaronte) también forma parte de dicho equipo :)

    También soy una persona que llega a las 7:00am al trabajo, que mira ilusionado cada día, ya que tenemos la gran suerte de trabajar en un gran ¡work place! y con la innovación y las pruebas de concepto siempre en nuestra mente. Sin duda, privilegiado, y me lo repito todos los días, para que no se me olvide. Si quieres ver el mundo, está debajo de tus pies :-) (lo decía Fito).

    2) ¿Qué hardware utilizas en el trabajo y en casa?

    De todo. Siempre he dicho que tenemos que utilizar en todo momento lo que necesitemos, tanto hardware como software. Pero sí, tengo un iPhone (esto es un primer dato para un ataque dirigido, me estás “leakeando”) y un Mac. También tengo Arduinos, Raspberry Pis y algunos juguetes más (haré seguridad por oscuridad :D).

    3) ¿Qué software usas en el trabajo y en casa?

    Pues de todo. Aplico la respuesta anterior. Es decir, si necesitamos en un momento dado las bondades de Linux, Microsoft o Apple, ¿Por qué no usarlas? Generalmente utilizo iOS & macOS, pero también tengo Windows o Linux en caso de necesitarlo. Hasta hace poco utilizaba mucho más Windows, pero intento repartir en función de las necesidades, para eso está la virtualización para dejarnos “jugar” con todo.

    4) ¿Qué libros estás leyendo ahora?

    Un fantasma en el sistema de D. Kevin Mitnick (y firmado por él :D). También he de decir, que he estado releyendo Got Root: El poder de la mente, pero este no cuenta porque es mío (que fue un honor poder escribir una novela de hacking). Dirás, ¿Releyendo? Sí, quería sacar fallos por si en el futuro me animase con algo similar, pero de momento no. Respecto a los fallos, mentalidad de pentesting hasta con los libros :-)

    5) ¿Qué música estás escuchando ahora?

    Me gusta Fito (antes y ahora). Lo que no trago es el Trap (mención de honor a mi amigo Álvaro Núñez-Romero). Me gusta la música de AC/DC (me gusta escuchar una canción antes de las charlas, salgo activo!), me gusta el Rock, Pop (incluso SKA-P, creo que eran grandes músicos y grandes letras), pero sobretodo que te haga sentir, que levante el ánimo y te active la motivación. Espero que lo de SKA-P no se entienda como que soy un fan activo, pero uno también tuvo su edad revolucionaria, ¿Qué te has pensado? (guiño guiño).

    Nota cyberhades: Pablo es toda una referencia en el mundo de la seguridad informática además de ser una gran persona. Es para mí un honor (Fran, cybercaronte) trabajar en su equipo CDO de Telefónica donde hay mucho estrés (del bueno), pero disfrutamos de verdad en los proyectos en los que trabajamos. En unos días Pablo se marcha a dar una conferencia junto a Santiago Hernández (@santiagohramos) a la prestigiosa Black Hat en Londres con la charla: UAC-A-MOLA donde seguro que presentarán algo interesante ;). También nos gustaría recomendaros el libro “Goot Root” de Pablo, una historia de hackers “de verdad”, creíble, donde se hablan de técnicas reales de hacking mezclado con una intensa trama que te atrapará desde el primer momento (y hasta aquí puedo leer).

Apple Krackers Guide

  • November 25, 2017
  • tuxotron
  • Broken Apple

    Broken Apple

    Datada el 6 de marzo de 1985, Apple Krackers Guide (PDF) es un documento histórico el que recoge diferentes formas de crackear o romper la protección en programas de Apple, o como se menciona en dicho documento “art of kraking”.

    El documento contiene un total 134 páginas divididos en 8 capítulos y 23 apéndices. El documento tiene el siguiente índice:

    • Chapter 1. Introduction to kraking.
    • Chapter 2. Where to Begin. A discussion on the first steps to kraking protected programs.
    • Chapter 3. Minimal Hardware Necessary for Kraking Protected Programs. Disk Jockey.
    • Chapter 4. Deprotecting Single Load programs.
    • Chapter 5. Modified DOS Protection.
    • Chapter 6. Modified RWTS Protection.
    • Chapter 7. The Art of Memory Packinq.
    • Chapter 8. Protected Applesoft Basic programs.
    • Appendix A. Kraking modified ros’ s with COPYB.
    • Appendix B. Making a F8 Krak ROM.
    • Appendix C. Makinq your own NMI board.
    • Appendix D. Practical uses for the NMI/modified ROM hardware.
    • Appendix E. RAM card kraking.
    • Appendix F. The ReI( card.
    • Appendix G. Memory Move writer documentation.
    • Appendix H. Disabling Minor Disk Access from Single Load Programs.
    • Appendix I. Using COPYB to krak Thief.
    • Appendix J. Deprotecting Robotron from Atarisoft.
    • Appendix K. Kraking PANDORA’S BOX from Datamost.
    • Appendix L. Kraking Jungle Hunt from Atarisoft.
    • Appendix M. Kraking Zaxxon from Datasoft.
    • Appendix N. Kraking Electronic Arts’ cut and Paste, One on one, and the Last Gladiator.
    • Appendix O. Kraking Roundabout from Datamost in a full disk format.
    • Appendix P. Kraking Mouskattack from On-Line Systems.
    • Appendix Q. Deprotecting Photar from Softape.
    • Appendix R. Deprotecting Bug Attack from Cavalier Computer.
    • Appendix S. Deportecting Flip out.
    • Appendix T. Deprotecting Guardian from Continental Software.
    • Appendix U. Kraking Mating Zone from Datamost: an example of defeating minor disk access from a single load program.
    • Appendix v. Kraking Crime Wave from Penguin Software.
    • Appendix W. Krakinq Roundabout into a single file: Using a memory packer.
    • The Annotated Mr. Xerox.
    • Regarding Tiger Teams Off the record comment on Apple piracy.


    En el capítulo de introducción, el autor recomienda encarecidamente la lectura de Don Worth’s “Beneath Apple DOS” (PDF) y del estudio en profundidad del capítulo 3 The System Monitor (núcleo del sistema) del Apple][ Reference Manual (PDF) y por supuesto aprender el ensamblador del 6502.

    Este documento tuvo que ser una joya en su época, al menos lo es para los que nos gustan la historia y anécdotas menos conocidas de la informática :)